国务院信息化工作办公室网络与信息安全组副组长吕诚昭:掌握自主知识产


 2004-11-21 00:00:00       753

提几个问题吧,现在我们办软件企业,但是我觉得我们软件产业面临很多问题,大家讲得很多,的我们的产业基础不够,这些问题到底怎么解决?有一次圆桌会议我们讨论得也很热烈当时也谈到了知识产权的问题,我们当时讨论的情况就是说你可以调查上,在标准方面中国是世界上采用标准最多的国家,我们中国用的国外软件最多的国家,所以中国是最开放的。80年代的时候我们用了很高的价钱买了一套软件,但是等于是中国不能用,中国只能用三分之一的功能。所以无论从各个方面来讲对中国的效益都是非常低的。

第二,我当时开发电信软件,那时候PNP要跟我合作,我这儿工程先谈一个小时,介绍我们的方案,正好来的是一个工程师他说我退出,我问他为什么退出?他讲了安全PNP系统拿到中国根本不能用,因为两个国家国立体制根本不一样。当时我们国家采用了大量国外的软件到底多少能用?我们要知道去了解一下,另外这套软件用户超过200万户的时候软件要重新设计。这个对我后来搞市场公司没有死掉起了很大作用。有一个用户找到过我,按照500万设计,整个工程费是500万,我是干不了,过么没有这个经验,因为500万户的话可能10年都达不到,我说能做也是骗你。事实证明当时这个工程是邮电系统的一个工程凡是做大工程的公司都失败了。这就是警示我们国内软件到底怎么做?有的国内公司有一个误解,就是只要开发软件就可以了,这完全是一个错误,软件结构要完全重新设计的。好多人不理解,包括现在接触很多公司也说没关系只要增加计算机就可以了。所以引起一个问题就是中国软件产业到底怎么发展?我们现在知道很多软件公司卖的是产品,卖的是工程,这是困扰我们的问题。我办公司5年后来调到部里去了,前三年非常好,因为上级给了我们一个良好的政策,干到三年基本不愿一干了,也的做软件的人女朋友也没了,总出差。97年我统计过,国内当时公布有多少多少软件园,多少多少人?我当时算了一下,一个产品只有20个人。严格讲是小作坊。你卖的不是产品,因为你搞工程。我搞邮电工程的时候搞两个省两、三百人用不过来。后来我就调走了,我当时有一个设想,能不能做成产品?应用软件变成产品是有成功的案例的。有一个公司就是把本地化全利用进去了,我当时也设想能变成产品,因为产品有一个好处就是你可以买你的平台,叫平台软件。既解决了用户需求的变化问题,也解决了你的公司员总出差的问题。这条路能不能走得通咱们讨论一下。我觉得中国软件如果不走产品化的路,光走工程我们可能搞不上去。今天不讲套话了,我认为王嘉廉的公司是一个是一个典型的变成产品的共了,它卖的是平台产品,不是说一个软件就可以开发成平台产品的,严格讲平台产品是一个系统产品。

我一直是有这样的想法,但是我离开公司了,后来我跟很多部委探讨这个问题都觉得很难。有一个过程,这是第一个问题,这儿有很多专家我这儿只是抛砖引玉。

第二个是应用软件和系统软件的关系。曾经我系统很难搞就不做了,所以我们曾经说操作系统等等要不要做?我觉得讨论不是要不要做而是怎么做的问题。还有系统产品是属于系统产品里面的,你卖给用户同时要卖给他一个工具,这说明产品对你要求更高了,你是一个配套的系统软件。我们爹对于这个关系怎么处理?我们这儿的很多公司忙于做工程没有把多年积累的经验变成产品。所以这里就检验了信用软件和系统软件的关系。

还有安全与产业的关系。大家说,因为目前存在安全问题,另外必须国产化,有自主产权有利于安全。我想谈一下我自己的看法,自主产权的产品可能有利于安全,但是不等于安全。我曾经发表过文章谈过这个问题,这是两回事。因为信息技术存在的缺陷是挺拔达到的。现在软件工程并没有降低软件错误率。某些领域错误率是降低了,但是比较通用的,我记得我在美国读博士的时候,81年我们系里老师研究软件工程中人的因素。就是软件工程实际上意思就是说很难说有一个通用的软件工程,所有的人都适合于这个领域。大家都知道大型的企业都有没有自己软件企业的环节,到一个公司里你看我们的产品特别多。我说我到一个企业去只看两个部分,第一看它有没有自己的软件环节,第二的测试部规模是多大?这样就基本可以判断它的软件水平了。如果你不专业搞了大量的产品,每个产品平均只20、30人的话你是不可能搞出符合要求的产品的。

因为信息技术的特点,这么多年经过几十年的错误率没有数量级的变化,这说明人体因素在软件开发中起了一个非常关键的作用。国产化能不能减少漏洞这是两个问题,但是国产化是有利于找漏洞、解决漏洞的。国产化有利于解决,但是国产化不一定安全。举一个例子,现在国外每年以成倍的速度发展,98年到现在,去年发现一万多个安全漏洞。但是中国发现多少呢?我都不好意思说,零头的零头。就是我们在这儿投入非常不够,这有两个问题,第一个产品不是我们自己的。第二个,就是自主的产品的安全也是另外一个问题,我认为人的特性、人的心理天然的存在一些可被利用的安全漏洞。而我们这方面工作做的非常不够,包括我们国内自己出的产品有多少漏洞我们自己不知道。包括国内现在建的一些系统有多少漏洞没人知道,这个工作难度多大呢?美国有统计,就是发现一个信息技术漏洞它叫脆弱性,需要一组专家几个月的时间研究。恐怕我们现在只做工程的企业一个产品只有一、两百人的企业是没有能力做这样的研究。所以我个人认为我们的软件产业需要专业化。我的感觉是这样的,对不对大家可以讨论。

我们产品对系统的研究更不够。我刚才讲过这么大一个网,因为我在信息办经常收到专家的一些报告,信息不安全等等。说实话这种领导批复我们很难回答,因为我们没做具体的工作,我们不能说服到底说明什么问题。我举一个例子,很多专家说不可能的事情。曾经有一个朋友说他通过互联网控制用我的坐机打我的手机。我的手机显示我坐机的电话号码,我问过很多专家他们说不可能,但是这是事实发生了。就是我们对自己的网络我们自己并不了解,没有人去研究,我只是一个例子。就是说我们除了产品安全漏洞研究不够,因为我们企业在走向国外,因为我们对自己技术产品的漏洞没有一个分析的话,那你产品卖的是安全问题你要负责任的,可能用户就不用了。为什么微软现在投入那么多的力量研究漏洞。所以这个问题是值得研究的。一个是我们要发展自主知识产权的产品,同时要注意安全问题。这两个问题是比较复杂的,应该是一个辩证关系的问题。不能说都是自主产品了就安全了,当然我的回答是否定的。必须在这上面要做工作不做工作照样不安全。我刚才讲过了我们发现漏洞的水平是非常低的。

再一个科研和产业的关系,我们投入这么多的科研经费有多少能够转成产业,推动软件产业的发展,曾经有过领导问我这是怎么回事?我说应该是企业主导科研。不能把科研经费作为收入、增值的一部分。这里我觉得有一个问题也是需要我们研究的。我在读博士的时候做工程,我当导师当时跟我说,这套软件百分之二、三十是基本原理,百分之七八十是异常处理。经过后来我在国内办软件企业我觉得就是这么回事。也就是说科研搞那部分最多也就占20%、30%,并且取决于科研人的水平和经验。70%、80%是异常处理,我们知道测试只能是发现错误。这些是在用户应用中不断发生的,所以这70%、80%是要投入非常高的。但是这是我们在搞科研的时候忽视的一个问题,以为科研出的产品就能卖了。当然还有另外一个道理,我个人认为产品只能做到20%、30%的东西,但是服务要跟上。软件行业自然就是一个服务行业,所以我为什么开发一个基本的东西,很多东西开发、工具非常重要,开发一个用户可用的工具。

我觉得还有一个基本原理,就是我读知识工程的时候,书上有一句话,就是“人和计算机和区别”人职能和计算机的区别有两点,第一点,人可以在数据完整的情况下做策略。但是 计算机必须数据准确下才能做决定。任何人犯错误计算机不会犯错误。那么这里就有一个问题,就是我们搞电子政务也好,大家说找一个人搞软件开发这是有问题的,必须是共同合作,你不理解这个业务就没法开发。我发表一个论点,就是人的思维是一个模糊思维,计算机的思维是精确思维。实际上我们在研究的过程中就是把模糊思维转变成精确思维,这个思维是一个创新。因为这个东西要宣传,我到那儿做报告我都讲这个东西。讲信息化设计的时候和传统工程部一样。软件工程现在一开始投资滚动没完没了,就是把人的模糊行为变成计算机的精确思维。所以经过30年的软件经验总结就是用户需求不明确是凭借,叫一个搞计算机的人说电子政务怎么做他根本就是外行。要变成一个计算机的东西是一个创新的过程,需要几方人共同合作。大家知道有两个搞计算机的设计的,他俩花了4年时间研发出来的达到了MD的水平,就是说这个合作过程对于搞软件工作的人也是学习的过程。搞政务的某些人可能就变成计算机专家了。总而言之提这么多问题,就是中国的软件到底该怎么干?我说了很多,但是我觉得必须我个人认为一个软件企业或者一个企业某一部分必须专业化,才能做出产品来。如果都是搞一个工程你仍然搞不出产品,我们中国软件产业可能永远上不去。

相关阅读: